メールセキュリティにおけるPPAP方式利用のリスクと代替案について解説
2023年04月14日
セキュリティ
PPAP方式は、従来メールセキュリティとして長らく利用されていました。しかし、近年では「リスクが高い手法」として廃止する企業が増加しています。
PPAP方式にはどのようなリスクがあるのか、本記事ではPPAP方式を利用するリスクと代替案について解説します。
PPAPとは?
PPAP方式とは、暗号化したZipファイルを添付する際に、ファイルを開くためのパスワードを直後に送信するメールに記載することで安全性を高める手法のことです。
PPAP方式は、重要なデータを送信する際のセキュリティ対策として、2011年ごろより政府や多くの企業で用いられてきました。
しかし、2020年にPPAP方式の危険性が指摘されたことにより内閣府や内閣官房が廃止を表明して以来、企業間でも廃止する動きが高まっています。
PPAPに潜む3つのリスク
PPAPの利用はなぜリスクが高いと指摘されたのでしょうか。
PPAP方式に懸念されるリスクとして、次の3つがあります。
- ・メールが盗み見される
- ・ウイルスの侵入経路になってしまう
- ・パスワードが解読される
PPAP方式は、「ファイルとパスワード送信メールを分けることで情報漏えいを防止する」という考え方に基づいた手法です。しかし、ファイルとパスワードを分けて送信しても、両方のメールが同じ通信経路で送信されるため、どちらも盗聴されてしまう可能性が高く、情報漏えいの防止にはならないことが、リスクが高いと言われる理由の1つです。
また、暗号化されたファイルは、ウイルスチェックでマルウェアの検知ができません。そのため、ウイルスの感染経路になる恐れがあり、受信者にとって大きなリスクとなります。
他にも、パスワードに強度の低い暗号方式を使用したり、「123」「password」 といった安易なパスワードを設定したりすれば、パスワードが解読される可能性が高いといった点から、セキュリティ対策としては無意味と認識されるようになりました。
PPAPの代替案
PPAP方式を廃止した場合、代替え案として活用できる方法には、次の4つが挙げられます。
クラウドサービス
「Googleドライブ」「Dropbox」などのクラウドサービスを利用して、ファイルをクラウドサーバーにアップロードし、相手と共有する方法です。ファイルをアップロードしたら、保存先のURLを相手に伝えることでデータを共有できます。
ファイル転送サービス
ファイル転送サービスのサイト上にファイルをアップロードし、相手にリンクやパスワードを伝えてデータを共有する方法です。大容量のデータでも手軽にやり取りでき、低コストで導入できる点が魅力です。
S/MIME
メールの暗号化技術を使ってセキュリティを担保する方法です。電子証明書を用いて、送信者の情報や作成日時を証明できるため、なりすましを防止し安全にメールの送受信を行えます。
チャットツール
「Chatwork」「Slack」といったビジネスチャットツールのファイル共有機能でファイルをアップロードし、相手と共有する方法です。チャットツールの多くは暗号化により盗聴を防止しているため、安全にデータのやり取りを行えます。
まとめ
PPAP方式は、長らくメールセキュリティの手法として普及していましたが、ウイルス経路になる恐れがあり受信者側にも高いリスクがあるなど、現在では問題視されています。
PPAPを使用している企業は、情報漏えいやウイルスによる被害を防止するために、廃止に向けて代替案を検討する必要があります。クラウドサービスやファイル転送サービスなど、まずは手軽に導入できるものから導入を検討してみるとよいでしょう。